郁湧等

摘 要：隨著軟件在信息社會中發(fā)揮越來越重要的作用，人們對軟件系統(tǒng)的可信性方面的要求也愈來愈高。對可信軟件和軟件構(gòu)件進(jìn)行定義和分析的基礎(chǔ)上，提出了一種基于構(gòu)件的可信軟件系統(tǒng)框架；一個(gè)基于構(gòu)件的可信軟件系統(tǒng)框架包括軟件系統(tǒng)的信任根構(gòu)件、可執(zhí)行的構(gòu)件集、HASH函數(shù)以及構(gòu)件之間的控制權(quán)可信轉(zhuǎn)移協(xié)議等部分；在此框架下，對基于構(gòu)件的可信軟件系統(tǒng)進(jìn)行描述和表示。為基于構(gòu)件的可信軟件系統(tǒng)的構(gòu)造和開發(fā)提供相應(yīng)的理論支持和借鑒作用。

關(guān)鍵詞：基于構(gòu)件的軟件系統(tǒng)；可信軟件；軟件構(gòu)件；控制權(quán)可信轉(zhuǎn)移

中圖分類號：TP31 文獻(xiàn)標(biāo)識碼：A

1 引言（Introduction）

軟件系統(tǒng)是信息基礎(chǔ)設(shè)施的核心組成部分。當(dāng)今，網(wǎng)絡(luò)和信息基礎(chǔ)設(shè)施已廣泛滲透到社會生活的方方面面，成為生產(chǎn)力發(fā)展和社會進(jìn)步不可或缺的強(qiáng)大工具。在眾多應(yīng)用背景的推動下，軟件的復(fù)雜度和規(guī)模都在以前所未有的速度在不斷延伸，在金融、國防、政府和通信等關(guān)鍵領(lǐng)域的各種復(fù)雜應(yīng)用需求背景下，軟件是否可信已經(jīng)成為衡量軟件系統(tǒng)的重要指標(biāo)。然而，作為計(jì)算機(jī)技術(shù)的核心和基礎(chǔ)之一的軟件系統(tǒng)，其生產(chǎn)現(xiàn)狀和質(zhì)量不能令人滿意，尤其是航空航天及核電等領(lǐng)域的關(guān)鍵軟件系統(tǒng)，其失效常常會對人類社會造成嚴(yán)重的災(zāi)難[1]。

可信軟件作為計(jì)算機(jī)軟件研究領(lǐng)域最具價(jià)值和最具挑戰(zhàn)性的核心課題之一，引起了國內(nèi)外政府組織、科學(xué)界和工業(yè)界的高度重視，紛紛提出有針對性的相關(guān)研究計(jì)劃：1999年IBM、HP、Intel、微軟等發(fā)起成立了可信計(jì)算平臺聯(lián)盟（TCPA），2003年TCPA改組為可信計(jì)算組織（TCG）；2005年，美國國家軟件研究中心發(fā)布了“軟件2015”（Software 2015）的報(bào)告，在報(bào)告中指出：未來軟件研究最重要的焦點(diǎn)之一在于軟件的可信性[2]；2006年，歐洲啟動了名為“開放式可信計(jì)算”（Open Trusted Computing）的研究計(jì)劃。十一五期間，可信計(jì)算列入了國家發(fā)改委的信息安全專項(xiàng)；2006年中國成立了可信計(jì)算密碼專項(xiàng)組，2008年12月可信計(jì)算密碼專項(xiàng)組更名為中國可信計(jì)算工作組。

對于軟件可信性一直沒有一個(gè)統(tǒng)一的定義，Avizienis等[3]將其定義為軟件系統(tǒng)的可用性、可靠性、安全性、機(jī)密性、完整性和可維護(hù)性的綜合?？尚庞?jì)算組織可信定義為如果一個(gè)實(shí)體的行為，總是以預(yù)期的方式，達(dá)到預(yù)期的目標(biāo)[4]。文獻(xiàn)[5]提出行為可信是指通過對協(xié)同計(jì)算的軟件行為進(jìn)行約束?？傊?，軟件的可信是指軟件系統(tǒng)的動態(tài)行為及其結(jié)果總是符合人們的預(yù)期，可信強(qiáng)調(diào)行為和結(jié)果的可預(yù)測性和可控制性，而干擾包括操作錯(cuò)誤、環(huán)境影響和外部攻擊等[6]。

同時(shí)，在現(xiàn)代軟件工程技術(shù)中，系統(tǒng)構(gòu)件化已經(jīng)成為軟件技術(shù)總體發(fā)展趨勢之一[7]，基于構(gòu)件的軟件開發(fā)技術(shù)（簡稱CBSE）尤其得到了廣泛發(fā)展?？尚艠?gòu)件及基于構(gòu)件的可信系統(tǒng)的建模和分析等方面的研究也自然成為可信軟件問題中的一個(gè)具有重要意義和應(yīng)用價(jià)值的研究熱點(diǎn)之一。

2 基于構(gòu)件的軟件系統(tǒng)中構(gòu)件的表示

（Representation of component in component-

based software system）

在基于構(gòu)件的軟件系統(tǒng)中，構(gòu)件是具有一定規(guī)模、相對獨(dú)立、可替換的重用單元，構(gòu)件具有較穩(wěn)定的組成模式[8]。

一個(gè)構(gòu)件遵從和提供一套接口以及這些接口的實(shí)現(xiàn)，因此軟件構(gòu)件應(yīng)該包括接口及其對應(yīng)的實(shí)現(xiàn)。構(gòu)件接口定義了一個(gè)構(gòu)件所能夠提供的功能和其相應(yīng)的規(guī)范要求；而接口對應(yīng)的實(shí)現(xiàn)包括了構(gòu)件所能夠提供的為完成相應(yīng)功能需要進(jìn)行的一系列相關(guān)操作。

定義2.1構(gòu)件C是軟件系統(tǒng)中承擔(dān)一定功能的計(jì)算單元。一個(gè)構(gòu)件可以表示為三元組C=。

（1）Interface是構(gòu)件接口的集合，接口包括輸入接口與輸出接口，構(gòu)件可以通過接口向外部提供服務(wù)，它們是構(gòu)件與外界系統(tǒng)進(jìn)行交互的通道，構(gòu)件通過接口定義了與外界信息的傳遞和承擔(dān)的系統(tǒng)責(zé)任。

（2）Imp是構(gòu)件對應(yīng)接口的實(shí)現(xiàn)體，是構(gòu)件接口對應(yīng)的操作的序列的集合。構(gòu)件中操作的執(zhí)行需要一定的條件，當(dāng)條件滿足時(shí)，相關(guān)的操作就執(zhí)行。

（3）Spec是構(gòu)件的內(nèi)部規(guī)約，用來描述構(gòu)件中接口與實(shí)現(xiàn)之間，以及構(gòu)件中各操作之間相互的約束關(guān)系。

定義2.2接口是個(gè)二元組p=，其中ID是接口p的唯一標(biāo)識符，Interface-Spec是接口p的規(guī)約。

在基于構(gòu)件的可信軟件系統(tǒng)中，構(gòu)件的執(zhí)行和構(gòu)件之間的控制權(quán)轉(zhuǎn)移是由可信軟件系統(tǒng)的整體框架和各個(gè)構(gòu)件的運(yùn)行狀態(tài)共同決定的。

3 基于構(gòu)件的可信軟件框架（Framework of

component-based trusted software）

在基于構(gòu)件的軟件系統(tǒng)中，通常是由多個(gè)構(gòu)件協(xié)作完成一定功能，而構(gòu)件是構(gòu)成軟件系統(tǒng)的計(jì)算或數(shù)據(jù)存儲單元之所在，它表現(xiàn)出的外部特征是能夠?yàn)橥獠刻峁┑囊幌盗械南嚓P(guān)服務(wù)?；跇?gòu)件的可信軟件是把軟件可信性的相關(guān)特征和方法引入到軟件系統(tǒng)中，為了能夠?qū)跇?gòu)件的可信軟件進(jìn)行充分和深入地研究，本文提出一種基于構(gòu)件的可信軟件框架。

基于構(gòu)件的可信軟件系統(tǒng)主要包括信任根構(gòu)件（TRC）、可執(zhí)行的構(gòu)件集（CN）和控制權(quán)可信轉(zhuǎn)移協(xié)議（TPP）等，如圖1所示。

在該框架下，一個(gè)基于構(gòu)件的可信軟件包括信任根構(gòu)件（TRC）、可執(zhí)行的構(gòu)件集（CN）、HASH函數(shù)和構(gòu)件之間的控制權(quán)可信轉(zhuǎn)移協(xié)議等內(nèi)容。其中，信任根構(gòu)件主要負(fù)責(zé)系統(tǒng)的可信啟動、可信配置等工作；可執(zhí)行的構(gòu)件集是基于構(gòu)件的可信軟件中完成相關(guān)計(jì)算功能的構(gòu)件的集合；而可信轉(zhuǎn)移協(xié)議主要負(fù)責(zé)系統(tǒng)中不同構(gòu)件之間控制權(quán)的可信轉(zhuǎn)移。

4 基于構(gòu)件的可信軟件表示和描述（Representation

of component-based trusted software）

一個(gè)基于構(gòu)件的可信軟件（TS）可以表示為一個(gè)4元組，TS=，其中：

（1）TRC= 為信任根構(gòu)件，TSM是系統(tǒng)的可信啟動模塊；CCR是構(gòu)件配置寄存器，包括構(gòu)件的標(biāo)識和編號、構(gòu)件的信息摘要等重要數(shù)據(jù)；TFM為系統(tǒng)可信分析模塊，負(fù)責(zé)分析各個(gè)構(gòu)件的完整性、安全性等可信性質(zhì)；EDM為系統(tǒng)的加解密模塊。信任根構(gòu)件是基于構(gòu)件的可信系統(tǒng)中第一個(gè)獲得控制權(quán)的部件，它的作用是根據(jù)系統(tǒng)開始執(zhí)行時(shí)計(jì)算獲得的信息摘要與構(gòu)件配置寄存器（CCR）進(jìn)行匹配來檢查和處理整個(gè)系統(tǒng)中的可信問題，并在系統(tǒng)運(yùn)行中將記錄哪個(gè)構(gòu)件獲得控制權(quán)，以及相應(yīng)的安全狀況。

構(gòu)件配置寄存器的結(jié)構(gòu)和存儲方式關(guān)乎構(gòu)件的完整性驗(yàn)證、系統(tǒng)可信啟動和構(gòu)件之間控制權(quán)的可信轉(zhuǎn)移。構(gòu)件配置寄存器CCR是一個(gè)五元組CCR=，CNun表示構(gòu)件的編號，CMark表示構(gòu)件的標(biāo)識，CIA表示對應(yīng)構(gòu)件的信息摘要，CTE表示構(gòu)件的可信測度值，CCRNext為一個(gè)指向下一個(gè)構(gòu)件配置寄存器的指針。為了便于擴(kuò)展，構(gòu)件配置寄存器被設(shè)計(jì)成鏈?zhǔn)浇Y(jié)構(gòu)；為了保證安全，構(gòu)件配置寄存器中的內(nèi)容需要根據(jù)不同情況進(jìn)行“封存”和“解封”處理。

（2）CN={C1，C2，……，Cn}為可信軟件中可執(zhí)行的構(gòu)件集，它們是完成整個(gè)系統(tǒng)中相關(guān)計(jì)算功能的部件的集合，每個(gè)構(gòu)件負(fù)責(zé)完成系統(tǒng)相應(yīng)功能。

（3）TPP為可信轉(zhuǎn)移協(xié)議，負(fù)責(zé)可信系統(tǒng)中不同構(gòu)件之間控制權(quán)的可信轉(zhuǎn)移。對于基于構(gòu)件的軟件系統(tǒng)而言，構(gòu)件之間的控制權(quán)轉(zhuǎn)移在所難免；為了避免系統(tǒng)被病毒或者惡意軟件修改和入侵，在系統(tǒng)從信任根構(gòu)件啟動時(shí)和把控制權(quán)交給可執(zhí)行的構(gòu)件之后，都需要保證構(gòu)件之間控制權(quán)的轉(zhuǎn)移是可信的。

為了實(shí)現(xiàn)以上任務(wù)，需要對所研究的可信軟件建立相關(guān)的構(gòu)件權(quán)限表和角色信息表。構(gòu)件之間控制權(quán)可信轉(zhuǎn)移協(xié)議能夠利用構(gòu)件之間的模糊信任關(guān)系、構(gòu)件信息摘要、構(gòu)件權(quán)限表和角色信息表等數(shù)據(jù)來對構(gòu)件雙方進(jìn)行相互認(rèn)證。構(gòu)件之間控制權(quán)可信轉(zhuǎn)移協(xié)議可以防止攻擊者對系統(tǒng)中構(gòu)件的破譯和越權(quán)使用。

（4）HASH為可信軟件中所需要的HASH函數(shù)，是軟件行為可信性保證的基礎(chǔ)。一個(gè)構(gòu)件的可信性關(guān)鍵域和指標(biāo)包括接口規(guī)約、前后斷言、檢查點(diǎn)、契約、類別不變量、異常規(guī)約、甚至程序代碼等內(nèi)容。在基于可信關(guān)鍵域進(jìn)行相關(guān)性分析的基礎(chǔ)上可以用HASH函數(shù)來計(jì)算獲取構(gòu)件的信息摘要，并存儲于構(gòu)件配置寄存器的相應(yīng)位置，作為構(gòu)件完整性度量和可信性驗(yàn)證的基礎(chǔ)。為了提高HASH函數(shù)的高效和安全性，HASH函數(shù)應(yīng)該不僅僅與一個(gè)構(gòu)件有關(guān)，還需要把其他相關(guān)構(gòu)件的信息摘要也作為HASH函數(shù)的參數(shù)，這樣可以使得只要一個(gè)構(gòu)件不完整就會影響其他相關(guān)構(gòu)件的完整性檢查，從而保證整個(gè)系統(tǒng)可信性的提高。

5 結(jié)論（Conclusion）

隨著信息基礎(chǔ)設(shè)施和現(xiàn)代生活對軟件依賴程度的迅速增加，簡單完成軟件的功能已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足需求，有效地研發(fā)高可信軟件已經(jīng)成連接未來的重要技術(shù)，這一方向受到政府組織、學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注。雖然國內(nèi)外學(xué)者在軟件的可信性研究方面已經(jīng)取得很大的進(jìn)展，但是也還有大量的關(guān)鍵問題亟待解決。為了能夠?qū)跇?gòu)件的可信軟件進(jìn)行充分和深入地研究，本文在傳統(tǒng)基于構(gòu)件的軟件工程基礎(chǔ)上，加入軟件可信性特征，提出一種基于構(gòu)件的可信軟件框架，一個(gè)基于構(gòu)件的可信軟件包括信任根構(gòu)件（TRC）、可執(zhí)行的構(gòu)件集（CN）、HASH函數(shù)和構(gòu)件之間的控制權(quán)可信轉(zhuǎn)移協(xié)議等部分。并基于此框架，用代數(shù)方法對其進(jìn)行表示，可以為進(jìn)一步對系統(tǒng)中構(gòu)件信息摘要的計(jì)算、基于模糊理論的構(gòu)件行為可信性測度、構(gòu)件的完整性驗(yàn)證、構(gòu)件之間的控制權(quán)可信轉(zhuǎn)移及其軟件行為動態(tài)可信測評等相關(guān)研究的進(jìn)行奠定基礎(chǔ)。

參考文獻(xiàn)（References）

[1] 陳火旺，王戟，董威.高可信軟件工程技術(shù)[J].電子學(xué)報(bào)，2003，

31（12A）：1933-1938.

[2] Center for National Software Studies（2009），Software 2015：A

national software strategy to ensure U.S.security and

competitiveness.http：//www.cnsoftware.org.

[3] AVIZIENIS A，et al.Basic concepts and taxonomy of dependable

and secure computing[J].IEEE Transactions on Dependable and

Secure Computing，2004，1（1）：11-33.

[4] Trusted Computing Group TCG specification architecture

overview[EB/OL].https：//www.trustedcomputinggroup.org/

groups/TCG_1_0_Architecture_overview.pdf，2010.

[5] 王懷民，等.互聯(lián)網(wǎng)軟件的可信機(jī)理[J].中國科學(xué)E輯：信息科

學(xué)，2006，36（10）：1156-1169.

[6] 劉克，等.“可信軟件基礎(chǔ)研究”重大研究計(jì)劃綜述[J].中國

科學(xué)基金，2008，22（3）：145-151.

[7] 楊芙清.軟件工程技術(shù)發(fā)展思索[J].軟件學(xué)報(bào)，2005，16（1）：1-7.

[8] 王志堅(jiān)，費(fèi)玉奎，婁淵清.軟件構(gòu)件技術(shù)及其應(yīng)用[M].北京：科

學(xué)出版社，2005.

作者簡介：

郁 湧（1980-），男，博士，副教授.研究領(lǐng)域：軟件工程和可

信軟件.

劉永剛（1994-），男，本科生.研究領(lǐng)域：網(wǎng)絡(luò)與軟件安全.

侯江畔（1992-），男，本科生.研究領(lǐng)域：軟件開發(fā).